Alternativa correta: C - certo

A questão aborda conceitos fundamentais da segurança da informação no contexto de desenvolvimento de software, especificamente as abordagens de testes DAST (Dynamic Application Security Testing) e SAST (Static Application Security Testing).

O DAST é uma metodologia de teste de segurança que é conduzida a partir de uma perspectiva externa à aplicação. É conhecida como uma abordagem de caixa preta, pois o teste é realizado sem qualquer conhecimento do código interno ou da estrutura da aplicação. Esta abordagem verifica a aplicação em seu estado de execução, tentando explorar vulnerabilidades de segurança que possam ser acessíveis externamente.

Por outro lado, o SAST é uma metodologia de teste de segurança que examina o código-fonte da aplicação ou até mesmo suas versões em bytecode ou binárias, sem a necessidade de executar o programa. Por isso, é conhecida como uma abordagem de caixa branca, pois requer um acesso íntimo ao código-fonte da aplicação. O SAST é geralmente integrado durante a fase de desenvolvimento para identificar e corrigir vulnerabilidades antes da publicação do software.

A afirmação da questão está correta pois reflete adequadamente a principal diferença entre DAST e SAST e o momento típico em que cada uma dessas metodologias é inserida no ciclo de vida de desenvolvimento de software.

O DAST (Dynamic Application Security Testing) é eficaz para encontrar vulnerabilidades que são expostas quando um aplicativo está em execução. Isso inclui questões relacionadas à configuração do servidor, autenticação, autorização e outras áreas que só podem ser avaliadas quando o aplicativo está funcionando.

Por outro lado o SAST (Static Application Security Testing), concentra-se em problemas de segurança que estão relacionados diretamente ao código do aplicativo. O SAST é uma abordagem que pode ser incorporada ao ciclo de desenvolvimento de software, permitindo que os desenvolvedores identifiquem e corrijam problemas de segurança à medida que escrevem o código.

Em resumo, o DAST avalia a segurança de um aplicativo em tempo de execução, enquanto o SAST analisa o código-fonte ou o binário do aplicativo em busca de problemas de segurança. Ambas as abordagens têm suas vantagens e desvantagens, e muitas organizações usam uma combinação de DAST e SAST, juntamente com outras técnicas de segurança, para obter uma avaliação mais completa da segurança de seus aplicativos.

Discordo do gabarito

Existe teste dinâmico caixa preta e caixa branca, não é porque o teste é DAST ou SAST que ele, obrigatoriamente, será caixa preta ou caixa branca.

analise de código fonte não seria durante e pós fase de desenvolvimento?

Explicação

DAST (Dynamic Application Security Testing)

• Abordagem de caixa-preta
• Não exige acesso ao código-fonte
• Testa a aplicação em execução

SAST (Static Application Security Testing)

• Abordagem de caixa-branca
• Analisa o código-fonte, bytecode ou binários
• É aplicado durante a fase de desenvolvimento

• DAST → caixa-preta → aplicação rodando
• SAST → caixa-branca → análise do código